17.1 "Safe Harbor" – Grundsätze zur Übermittlung von Daten in die USA
Im letzten Jahresbericht (vergleiche die Ziffern 1.1.2 und 18.2) stellten wir die Zulässigkeit von Datenübermittlungen in die Vereinigten Staaten von Amerika (USA) auf der Basis der Safe-Harbor-Entscheidung der Kommission der Europäischen Union (EU-Kommission) in Frage. Grund dafür sind die Enthüllungen von Edward Snowden über die anlasslose und flächendeckende Überwachung durch den US-amerikanischen Geheimdienst National Security Agency (NSA). Die EU-Kommission hat die Möglichkeit, die Safe-Harbor-Entscheidung jederzeit anzupassen, auszusetzen oder den Anwendungsbereich zu beschränken. Andererseits können die europäischen Aufsichtsbehörden für den Datenschutz nach der Safe-Harbor-Entscheidung Datentransfers in die USA aussetzen, wenn eine hohe Wahrscheinlichkeit besteht, dass die in der Entscheidung formulierten Grundsätze nicht eingehalten werden.Ende November 2013 erklärte die EU-Kommission in einer Mitteilung an das Europäische Parlament und den Rat unter anderem, dass die Entscheidung überprüft werden müsse. Die bekannt gewordenen Informationen zu den Überwachungsprogrammen werfen neue Fragen über das Schutzniveau für personenbezogene Daten auf, das mit der
Safe-Harbor-Entscheidung gewährleistet werden soll. Die groß angelegten Programme könnten dazu führen, dass die aufgrund des Safe-Harbor-Regelung transferierten Daten von US-Behörden über das Maß hinaus, das für den Schutz der nationalen Sicherheit unbedingt nötig und angemessen wäre, abgerufen und weiterverarbeitet würden. Ernsthaft in Frage stellte die EU-Kommission auch, ob Datenschutzrechte europäischer Bürgerinnen und Bürger, deren Daten in die USA übermittelt werden, angesichts des umfassenden Zugriffs der Nachrichtendienste auf Daten, die von Safe-Harbor-Unternehmen in die USA übermittelt werden, kontinuierlich geschützt seien. Auf dieser Grundlage empfahl die EU-Kommission bezüglich der Überwachungsmaßnahmen der US-Nachrichtendienste unter anderem, dass die entsprechenden Unternehmen in den USA Auskunft darüber geben sollten, in welchem Umfang US-Behörden nach Maßgabe des US-Rechts Daten erheben und verarbeiten dürften, die auf der Grundlage des der Safe-Harbor-Entscheidung übermittelt worden seien.
Die Unternehmen sollten insbesondere angehalten werden, in ihren Datenschutzbestimmungen anzugeben, in welchen Fällen sie Safe-Harbor-Grundsätzen nicht beachteten, um Anforderungen der nationalen Sicherheit, des öffentlichen Interesses oder der Rechtsdurchsetzung der USA genügen zu können. Wichtig ist nach der Mitteilung der EU-Kommission, dass von der in der Safe-Harbor-Entscheidung vorgesehenen Ausnahme der nationalen Sicherheit nur so weit Gebrauch gemacht wird, wie dies unbedingt notwendig oder angemessen ist. Trotz dieser Bedenken erwog die bis Ende Oktober 2014 amtierende EU-Kommission keine Aussetzung des Safe-Harbor-Abkommens mit den USA.
Wie sich die neue EU-Kommission verhalten wird, bleibt abzuwarten.
Ende Februar 2014 stellte das Europäische Parlament auf der Grundlage des Berichts seines Ausschusses für bürgerliche Freiheiten, Justiz und Inneres fest, dass es der Kommission nicht gelungen sei, auf die Beseitigung der hinreichend bekannten Mängel bei der derzeitigen Umsetzung der Safe-Harbor-Grundsätze hinzuwirken. Das Europäische Parlament forderte die Kommission und die Datenschutzaufsichtsbehörden auf, Datenübermittlungen in die USA, die sich auf die Safe-Harbor-Entscheidung stützen, unverzüglich auszusetzen. Das Parlament verlangte, dass solche Datenübermittlungen auf der Grundlage anderer Instrumente erfolgten, sofern diese die erforderlichen Sicherheitsbestimmungen und Garantiebestimmungen für den Schutz der Privatsphäre sowie die Grundrechte und Freiheiten von Personen enthielten. Zudem forderte das EU-Parlament die EU-Kommission auf, bis Ende 2014 eine umfassende Bewertung des Rechtsrahmens der USA vorzulegen. Sie bestärkte die EU-Kommission darin, sich mit der US-Regierung auseinanderzusetzen, um einen Rechtsrahmen für ein hohes Datenschutzniveau zu schaffen und für die Gleichwertigkeit der in der Europäischen Union und in den Vereinigten Staaten von Amerika bestehenden Rahmenbedingungen für den Schutz der Privatsphäre zu sorgen. Aus den Verhandlungen der EU-Kommission mit den
USA ist bisher nur bekannt geworden, bezüglich der Safe-Harbor-Entscheidung bestehe weiterhin ein Dissens.
Die Artikel-29-Datenschutzgruppe, ein Zusammenschluss der Aufsichtsbehörden der Mitgliedstaaten der Europäischen Union, stellte zudem im April 2014 fest, dass unter anderem die Safe-Harbor-Grundsätze nicht als Rechtsgrundlage herangezogen werden könnten, um die Übermittlung personenbezogener Daten an eine Drittstaatsbehörde zum Zwecke massiver und willkürlicher Überwachung zu rechtfertigen.
Die Aufsichtsbehörden für den Datenschutz innerhalb der Europäischen Union haben die Möglichkeit, gegenüber in ihrem jeweiligen Zuständigkeitsbereich ansässigen Unternehmen Datentransfers auf der Grundlage des Safe-Harbor-Abkommens auszusetzen. Gleichwohl ist hiervon noch nicht Gebrauch gemacht worden. Vorwiegend werden zunächst die Verhandlungen der EU-Kommission mit den USA abgewartet. Dies verzögert sich jedoch weiter angesichts des Amtsantritts der neuen EU-Kommission Anfang November letzten Jahres. Schließlich hat der irische High Court (Verfassungsgericht) den Europäischen Gerichtshof angerufen, um festzustellen, weshalb der irische Datenschutzbeauftragte in Bezug auf die US-Überwachungsprogramme nicht tätig geworden ist.
Ende des letzten Berichtsjahres schrieb der Vorsitzende der Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2014 den neugewählten Präsidenten der EU-Kommission, und bat ihn um Unterrichtung über den gegenwärtigen Verhandlungsstand zwischen der EU-Kommission und der US-Regierung über die Umsetzung der aufgezeigten Empfehlungen und um Mitteilung darüber, wann die EU-Kommission die Verhandlungen mit der US-Regierung zu beenden gedenke, und welche Maßnahmen sie ergreifen werde, wenn diese Verhandlungen nicht zu einem Ergebnis führten, das ein angemessenes Datenschutzniveau bei der Übermittlung von Daten von Bürgerinnen und Bürgern der EU in die USA sicherstelle.
Solange die USA nicht bereit sind, auf die anlasslose und flächendeckende Überwachung durch die NSA und damit den unzulässigen Zugriff auf personenbezogene Daten bei in den USA ansässigen Dienstleistern zu verzichten, sehen wir keine Möglichkeit, unter Berufung auf die Safe-Harbor-Entscheidung einen datenschutzkonformen Datentransfer in die USA zu gewährleisten. Wir raten Unternehmen im Land Bremen deshalb, auf die Übermittlung von Daten in die USA auf der Grundlage der Safe-Harbor-Entscheidung zu verzichten und stattdessen etwa Dienstleister mit Sitz innerhalb der Mitgliedstaaten der Europäischen Union und in Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum mit der Verarbeitung personenbezogener Daten zu beauftragen. Im November des Berichtsjahres versandten wir das erste offizielle Anhörungsschreiben im Anordnungsverfahren zur Aussetzung derartiger Datentransfers.
17.2 Datenschutz-Grundverordnung
In unserem 35. Jahresbericht (siehe Ziffer 1.2) berichteten wir ausführlich über den von der Kommission der Europäischen Union (EU-Kommission) Ende Januar 2012 vorgelegten Entwurf einer Datenschutz-Grundverordnung. Ende 2013 wurden die Beratungen des Europäischen Parlaments mit dem Bericht des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres zum Abschluss gebracht. Das Europäische Parlament hat eine Vielzahl von Änderungen vorgeschlagen, die die Rechte der Betroffenen stärken würden.
Beispielsweise wird der Begriff der personenbezogenen Daten – im Gegensatz zum Entwurf der EU-Kommission und entsprechend dem deutschen Datenschutzrecht – unter anderem auf bestimmte und bestimmbare Angaben festgelegt. Des Weiteren soll es nach den Vorschlägen des Parlamentes keine grundrechtsfreien Räume geben, weil keine Datenkategorien und Unternehmensgruppen (beispielsweise Kleinstunternehmen) aus dem Anwendungsbereich herausgenommen werden. Die Anforderungen an die Wirksamkeit von Einwilligungen und die Transparenz der damit verbundenen beabsichtigten Datenverarbeitung für die Betroffenen soll danach deutlich festgelegt werden. Außerdem schlägt das EU-Parlament vor, den Katalog der besonderen (sensiblen) Datenkategorien um Daten über verwaltungsrechtliche Sanktionen, Urteile und mutmaßliche Straftaten zu erweitern.
Bedeutsam ist auch der Änderungsvorschlag des EU-Parlaments zur Zuständigkeit der Aufsichtsbehörden für verantwortliche Stellen, die in mehreren Mitgliedstaaten personenbezogene Daten verarbeiten. Danach darf die federführende Aufsichtsbehörde, in deren Mitgliedstaat sich die Niederlassung einer verantwortlichen Stelle befindet, Maßnahmen erst nach Konsultation aller anderen zuständigen Aufsichtsbehörden ergreifen, muss sich dabei um einen Konsens bemühen und die Stellungnahmen der beteiligten Aufsichtsbehörden weitestmöglich beachten. Mit einer solchen Regelung würde es für Datenverarbeitern erschwert, sich die zuständige Aufsichtsbehörde durch Verlegung der Niederlassung selbst auszusuchen (siehe hierzu die Entschließung zur Struktur der künftigen Datenschutzaufsicht in Europa unter Ziffer 19.3 dieses Berichts).
Entgegen dem Entwurf der EU-Kommission, sich selbst das Letztentscheidungsrecht bei bestimmten Datenverarbeitungen vorzubehalten, schlägt das EU-Parlament vor, dieses Recht dem neuen unabhängigen Europäischen Datenschutzausschuss zu übertragen. Dies würde die Unabhängigkeit der Aufsichtsbehörden stärken. Darüber hinaus soll eine Vielzahl von Rechtsakten zu bestimmten Datenverarbeitungen auf der Grundlage der Grundverordnung vom unabhängigen Datenschutzausschuss und nicht von der EU-Kommission unter Einbeziehung der Aufsichtsbehörden festgelegt werden. Zudem sollen die Aufsichtsbehörden nach den Vorschlägen des EU-Parlaments Bußgelder bis zu einer Höhe
von 100 Millionen Euro verhängen können, sodass derartige Androhungen spürbar und nicht zahnlos sein dürften.
Bedauerlicherweise haben weder das EU-Parlament noch die EU-Kommission eine Regelung vorgeschlagen, die es Mitgliedsländern erlaubt, für die Datenverarbeitung durch Stellen der öffentlichen Verwaltung Regelungen zu treffen, die im Hinblick auf die Sensitivität der Daten oder sonstiger Umstände über das Datenschutzniveau der Datenschutz-Grundverordnung hinausgehen. Für eine solche Regelung scheint sich die Bundesregierung jetzt in den Verhandlungen des Rates der Europäischen Union einzusetzen.
Der Rat der Europäischen Union (Zusammenschluss der Regierungen der EU-Mitgliedstaaten) hat bis Redaktionsschluss immer noch nicht abschließend über die Datenschutz-Grundverordnung beraten. Der für das Inkrafttreten der Grundverordnung erforderliche Trilog (Verhandlungen zwischen der EU-Kommission, dem Rat der Europäischen Union und dem Europäischen Parlament) kann daher nicht vor 2015 stattfinden.